PI Network 3.14 là tiền ảo hay tiền “Ao” scam 


“Ban sẽ mất gì và tốn gì khi có ước mơ chạy theo PI” 


Viết bởi: WibuBoiz 


“Chúng tôi là WjbuBoiz - phương châm sống của chúng tôi là huynh đệ là khi thấy nhau đau, khổ thì giúp đỡ 
lẫn nhau. Đừng vì đồng tiền mà đánh mất nhau..” 





Tóm tắt: kết quả điều tra, phân tích của WjbuBoiz vê app Pi 





Mục lục: 


1/ Những điều can biết về PI 
2/ Bạn sẽ tốn và mất gì khi đào PI? 
3/ Những bằng chứng thật về PI là một app tiền “ảo” scam 


“Người xưa nói đúng: thuốc đắng giã tật, sự thật, mất lòng”. Danh sách những sự thật mất lòng: 
° Cảnh báo tren CoinMarketCap 





Ly giai su viéc Pi mat tich va trò lai ngay 22/11/2021 

Pi Network đòi hỏi nhiều quyền nhạy cảm va thu tháp dữ liệu 

Nhân định của chuyên gia bảo mật quốc tế 

Thưc chất Pi chả sử dung công nghê Blockchain hay gì đặc biét cả. Tất cả chỉ là goi qua API và lưu 
data trên backend của họ 

Giao diện trang socialchain.app 

Hiéu ứng lừa đảo công đồng “Domino” và tính pháp lý. 

Liệt kê day đủ danh sách tên miền, dia chỉ IP và mót số thông tin có liên quan đến minepi.com (là 





trang chính của Pi Network) 

Bên trong mã nguồn cho thấy ứng dụng Pi sử dụng các thư viện quảng cáo để kiếm tiền 

Pi Network app chi là webview 

Tất cả những số PI đang chay mà các bạn thấy trên màn hình không phải là app PI đang đào coin hay 
chay blockchain gi cả. Thực chất dao PI chỉ là dùng Javascript timer 

Phân HER ky thuát viéc Pi Network lấy và lưu dữ liêu danh ba người dùng 





Pi Network không gửi tin nhắn xác nhân người dùng mà tự người dùng phải nhắn tin cho hê thống để 
xác nhân số điện thoai 
e Van đề KYC mơ hồ. 


4/ Khuyến cáo và kết luận 


1/ Những điều cân biết về Pi: 

Pi Network là một loại tiền điện tử, chỉ khai thác được trên thiết bi di động tương tự như một dự án đã 
được ra mắt trước đây là Electroneum (ETN). Điểm khác biệt của Pi Network nằm ở khả năng đào Pi 
nhưng không tốn tài nguyên thiết bị như các ứng dụng khai thác coin miễn phí khác. 


Pi Network được thành lập bởi một đội ngũ cựu sinh viên Đại học Stanford. Trong đó, ba trụ cột chủ lực 
trong việc phát triển dự án có thể kể đến 2 tiến sĩ và 1 MBA của Đại học này. Họ là những người đã góp 
phần xây dựng cộng đồng blockchain tại Stanford: 

Dr. Nicolas Kokkalis: Trưởng bộ phận Công nghệ 

Dr. Chengdiao Fan: Trưởng bộ phận Sản phẩm 

Vincent McPhillip: Trưởng bộ phận Cộng đồng. 


Những người am hiểu về tiên điện tử đều nghi ngờ vê vai trò của Tiến sĩ Nicolas Kokkalis với dự án Pi. 


e Nicolas Kokkalis, Ph.D. 
Computer Scientist 


Experience 


o Stanford University 
14 yrs 


Postdoctoral Scholar & Instructor 


Researcher & Ph.D. student 


CTO & Founding team member 


Founder 
RR AM ri = 


Gameyola Inc 


Hồ sơ của Nicolas Kokkalis tại trường Stanford cũng nhu trang LinkedIn liệt kê nhiều dự án mà ông tham 
gia, nhưng không nhắc đến Pi. Nhiều trang cá nhân mang tên Nicolas Kokkalis xuất hiện trên Twitter 
được cho là của tiến sĩ này nhưng đã ngừng cập nhật từ nhiều tháng nay. Nicolas Kokkalis cũng xuất hiện 
trong 3 video trên kênh YouTube của Pi Network. 


"Việc này khá bất thường. Trong hầu hết dự án về tiền điện tử, uy tín của người sáng lập cao hơn cả uy tín 
của dự án. Những người sáng lập thường phải hoạt đông tích cực trên các mạng xã hội để công bố các 


thông tin quan trong và dé tránh bi mao danh. Tuy nhiên, Nicolas Kokkalis lai không làm vay với Pi", Anh 
Thái, một người có 3 năm kinh nghiệm đầu tư tiền điện tử nhận xét và chia sẻ với Vnexpress 


Một bài báo về Nicolas Kokkalis cùng dự án Pi được đăng tải trên trang Stanford Daily được nhiều người 


sử dụng để kêu gọi tham gia Pi Network với lý lẽ "trường Stanford cũng viết vê dự án này". Thế nhưng 


trang Stanford Daily là một trang tin do sinh viên trường lập ra, không phải trang chính thức của trường đại 
hoc Stanford. 


Pi hoạt đông như thế nào trên điện thoại di động? 


Người tham gia chỉ cân một chiếc smartphone, tải ứng dụng Pi Network vê máy và đăng ký tài khoản sử 
dụng (cách đăng ký đơn giản như những tài khoản khác). Sau đó, mỗi ngày ho chỉ can vào và nhấn Start 
để bắt đầu đào Pi. Được biết, quá trình nảy vẫn tiếp tục diễn ra ngay cả khi thiết bị bị ngắt kết nối internet. 


Bạn nghĩ gì khi phía nhà sản xuất cho rằng việc khai thác Pi vẫn sẽ không làm ảnh hưởng đến hiệu suất 
máy, không làm cạn kiệt pin và đặc biệt, không sử dụng dữ liệu mạng của người tham gia? Nghe thật khó 
tin phải không nào? 


Tốc độ khai thác Pi sẽ ti lệ nghịch với số người tham gia vào cộng đồng để tao độ khó trong việc khai 
thác. Nếu càng nhiều người dùng, sò Pi đào được sẽ càng ít đi. Tốc độ ban đầu là 3,1 Pi trong một giờ, 
nhưng khi cộng động này lên đến con số 10 triệu thành viên (vào cuối năm 2020, đầu năm 2021 đã hơn 
13 triệu thành viên), tốc độ đào Pi đã giảm xuống chỉ còn 0,2 Pi trong một giờ. 


Nếu muốn tăng tốc độ đào, người chơi chỉ có cách mời thêm những người khác cùng tham gia mạng lưới 


(cái này hay có tên gọi khác là “Da Cấp”). Đồng thời sẽ phải tuân thủ quy định cứ mỗi 24h phải vào ứng 
dụng để "điểm danh" một lần. 


© 
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2/ Ban sẽ tốn và mất gi khi dao PI? 


L] Những cái tốn: 


+ 
+ 


Tốn công sức để lôi kéo người khác và có thể mất thêm thông tin khác trong máy. 

Tốn tiền (vì bạn phải sac pin điện thoai là điều hiển nhiên sẽ tốn tiên điện ^.^, đồng thời sẽ mất thời 
gian của bạn thay vì bạn có thể làm việc khác có ý nghĩa và tạo ra giá trị thực tế hơn cho cuộc 
sống) 

Tốn nguồn tài nguyên của máy 





Những cái mất: 

Mất thông tin dữ liệu nhạy cảm, như: thông tin danh tính cá nhân, ho tên, số điện thoại... 

Bị lừa vào những hoạt động quảng cáo tinh vi của Pi để kiếm tiền. 

Mất đi niềm tin và hy vọng vào công nghệ blockchain một cách vô tình (vốn dĩ không phải lừa đảo 
mà do những con người tạo ra những app rồi dựa hơi vào công nghệ blockchain để đi lừa đảo) 
Mất công sức vào một app không mang lại giá trị thực tế, trong khi thời gian đó làm được nhiều 
chuyện thực tế khác. 

Mất uy tín với mọi người xung quanh bạn, người mà bạn đã giới thiệu về Pi này. 





3/ Những bằng chứng thật vê PI là một app tiền “ao” scam 

"Đào' tiền ảo nhưng thật nhàn hạ và dễ dàng. Chỉ cần cài đặt ứng dụng trên điện thoại, đăng nhập (tất 
nhiên là khai báo nhiều thông tin cá nhân), "điểm danh" sau mỗi 24h, người dùng đã có thể thu vê những 
con số với đơn vị là Pi. 


Sống ở đời, 
phàm moi thi tù 
trên trời rơi xuống 
chỉ có nước mưa 
và cut chim thôi 4 
- Tào Tháo - 





Chúng ta phải hiệu định nghĩa của việc "dao" tiền không don giản hay không phải là điểm danh tính công 
hay khai thác tài nguyên, mà phải là hành vi xác thực giao dịch. Đào Pi dựa trên việc “điểm danh” là hành vi 
vô giá tri, tất cả chỉ dựa trên niềm tin và nói miệng. "Dào' ở Bitcoin đúng là để xác thực các giao dich. Con 
hiện tại trên Pi Network chưa phát sinh giao dịch, nên cũng chưa thể xác thực. 


Ứng dụng Pi không công bố lõi công nghệ - mã nguồn khiến nhiều chuyên gia nghiên cứu lĩnh vực 
blockchain phải lên tiếng cảnh báo sư thiếu minh bach của du án này. Nguyên tắc bất di bất dịch của 
blockchain là tính minh bạch 


Việc công khai mã nguồn là rất quan trong, thể hiện tâm uy tín của dự án. Ngay cả với những mã lớn nhu 
BTC, ETH, minh bạch trong khâu cung cấp mã nguồn, thể hiện tính phi tập trung là một trong những yếu 
tố làm nên thành công của đồng thuật toán. 


Theo lời giới thiệu trên sách trắng của dự án https://minepi.com/white-paper , Pi được xây dựng để trở 
thành "đồng tiên điện tử phổ biến nhất trên thế giới". Trong lộ trinh phát triển được công bố, Pi cũng chia 
làm ba giai đoạn như nhiều dự án tiền mã hóa khác, gòm giai đoạn thiết kế, thử nghiệm trên Testnet 
trước khi tiến tới giai đoạn chính thức Mainnet. Tuy nhiên, sách trắng từ năm 2019 không nói rõ thời gian 
cu thé của các giai đoan. 





*so hài các thü* 


O Cảnh báo trên CoinMarketCap là "Pi Network gân đây đã phải đối mát với nhiều tranh cãi. Vui lòng 
tự nghiên cứu trước khi đầu tư” https://coinmarketcap.com/currencies/pinetwork/ : 


‘coinmarketcap.com, ° 


Cryptos: 16,009 Exchanges: 447 Market Cap: $2,404,202,703,880 24hVol: $93,924,488,048 Dominance: BTC: 40.6% ETH:20.4% $È ETH Gas: 77 Gwei v 


@ CoinMarketCap — cryptocurrencies Exchanges NFT Portfolio Watchlist Calendars Products Learn 


Cryptocurrencies Tokens Pi Network 







© Pi Network has faced its fair share of controversy recently. Please do your own research before investing. 


Status 


Q Pi Network »= Market data is untracked 


CS SS RS This project is featured as an 'Untracked Listing' 


For more details on the listing tiers, please refer to Listings Review 
Criteria Section B - (3) 


di minepicom (7  $& Community [7 
Self-Reported Tags: 
Crowdfunding Crowdsourcing Decentralized Exchange DeFi View all 


PNET Price Live Data 


Tre! 
Here are some other articles that you may be interested in: 


* What Is a Crypto Faucet? = 
* What Are Crypto Debit Cards? Te" 
* What Is Web 3.0? 

* What Is Yield Farming? z 
* What Is Crypto Lending? © 


O Môt sé domain (tên miền) thuộc Pi bi blacklist hay cảnh báo là nguy hiểm không an toàn bởi một số 
chương trình diệt vi-rút và Microsoft Edge SmartScreen. Bằng chứng: 


Link: VirusTotal - URL - f3020a4d4a22f4954730a4f44fdacf77a113fbd4d5320ab133b190a5faa3f57a - 
Điều này cũng đáng lo ngại cho số phận của 2312 nodes do người Việt vận hành: 





(1). 1security vendor flagged this URL as malicious 


http://node-cdn.minepi.com/ 403 é 


node-cdn.minepi.com 


DETECTION DETAILS COMMUNITY 





ESET © Phishing Abusix 
Acronis @ Clean ADMINUSLabs 


AICC (MONITORAPP) @ Clean AlienVault 


dashboard.p!-blockchain.net 
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Rank Country Nodes 







Vietnam 


#4 United States 443 
#5 South Korea 436 
#6 Germany 202 
#7 Malaysia 192 
#8 United Kingdom 110 
#9 Canada 107 
#10 Japan 90 
#11 Croatia 61 
#12 Hong Kong 79 
#15 France 57 
#14 Romania 55 
#15 Singapore 45 
#16 Italy 42 
#17 Spain 39 
#18 Slovenia 39 
#19 Australia 38 


#20 India 34 


Và bi detect bởi Microsoft Defender SmartScreen là nguy hiểm, không an toàn trên Microsoft Edge 
Browser 


A Dangerous node-cdn.minepi.com 


This site has been reported as unsafe 


Hosted by node-cdn.minepi.com 


Microsoft recommends you don't continue to this site. It has been 
reported to Microsoft for containing phishing threats which may try 
to steal personal or financial information. 


More information 


Microsoft Defender SmartScreen 


Trang e CIERRE là API endpoint cua Pi bi detect là nguy hiểm bởi Microsoft Defender 
SmartScreen trén Microsoft Edge Browser 


Å Dangerous socialchain.app 


This site has been reported as unsafe 
Hosted by socialchain.app 


Microsoft recommends you don't continue to this site. It has been 
reported to Microsoft for containing phishing threats which may try 
to steal personal or financial information. 


More information ^^ 


Microsoft Defender SmartScreen 





Kế đến là app của Pi Network bi detect là nguy hiểm bởi Tencent: 


Link: VirusTotal - File - 68042c9c867826983cbe1fe16da751cf319111ded0407182617e2b0bb8d7ae62 


ttps://www.virustotal.com/gui/file/68042c9c867826983cbe1fe16da751cf319111ded0407182617e2b0bb8d7ae62?n 





867826983cbe1fe16da751cf319111ded0407182617e2b0bb8d7ae62 


KI 
1 ©) 1 security vendor flagged this file as malicious 
wg 68042c9c867826983cbelfe16da751cf319111ded0407182617e2bObb8d7ae62 33.53 MB 2021-12 
com.blockchainvault.apk l 
android apk contains-elf obfuscated reflection runtime-modules 
x v 
DETECTION DETAILS RELATIONS BEHAVIOR COMMUNITY 
Tencent (D) Agray.PiggyGoldcoin.b Ad-Aware (7) Unde 
AhnLab-V3 @ Undetected Alibaba ©) Unde 
ALYac @ Undetected Antiy-AVL (7) Unde 
Ar=ahit CÀ lndatactad Avact CÀ linda 


O Ngày 21 tháng 12 năm 2021, app Pi Network trên CHPlay mất tích, cộng đồng Pi bảo là app đang 
được nâng cấp để chuẩn bị lên mainnet thế nhưng ở đây theo kinh nghiệm của tôi và một số anh 
em trong ngành lập trình cho thấy những lý do sau: 

e Dường như một app nào đang muốn được cập nhật lên phiên bản mới - họ không bao giờ xóa 
hoặc án di app hiện đang hoạt đông. 

e Có thể trước ngày bị xóa hay mất tích trên CHPlay, app Pi đã phạm phải nội quy hay quy 
định nào đấy vê bảo mật hay tính riêng tư của Google dẫn đến app bị mất tích. 

e Sau đấy ngày 22 thang 12 năm 2021, app Pi Network đã có mát trở lai trên CHPlay thế 
nhưng không có một sự update nào, ngoài việc là app đang đi lùi lại thời gian của phiên bản 

i phiên bản cáp nhát mới nhất là ngày 18 tháng 10 năm 2021). Điều 

này gây ra nhiều vấn đề đáng lo ngại về sự trở lại này, không phải là một update hay nâng 

cấp nào cả. Nếu đúng như update hay nâng cấp app thì phải hiện ngày 22 tháng 12 năm 

2021 chứ nhỉ ^.^ (Xem hình bên dưới) 





play.google.com 





Categories v Home Top charts New releases 9 a 


Full Review 


READ ALL REVIEWS 


WHAT'S NEW 


This version fixes a few bugs and improves the apps overall performance 





NFORMATION 
: Size Installs 
34M 10,000,000 
Current Version Requires Android Content Rating 
1.30.4 5.0 and up Everyone 


Learn more 


Permissions Report Offered By 
View details Flag as inappropriate SocialChain 
Developer 

Visit website 


support@minepi.com 


Privacy Policy 


O Pi Network đòi hỏi nhiều quyền nhay cảm, dựa theo phân tích dễ hình dung của Exodus thì app Pi 
Network phiên bản 1.30.4 đòi hỏi quyên nhiều hơn những phiên bản trước đó. Cụ thể là có 11 


trackers/quảng cáo - và 28 quyền cần từ thiết bị để chạy app. Người dùng chắc chắn sẽ "mat" 
thông tin cá nhân (như họ tên, số điện thoại hoặc facebook ID), thông tin xác thực eKYC 


Link: exodus (exodus-privacy.eu.org) 


Trong hình này có 11 trackers dùng để quảng cáo, thu tháp dữ liêu người düng... Trong đó có quảng cáo 
Facebook, Google, OneSignal... 


Home Reports Trackers Better understand The organization 





QD trackers 


We have found code signature of the following trackers in the application: 


Facebook Ads » 


Facebook Analytics > 


Facebook Login > 


Facebook Share > 


Google AdMob > 


Google Firebase Analytics > 


IAB Open Measurement > 


( identification ) ( advertisement ) 


ironSource > 


OneSignal > 





Pangle > 


Tapjoy > 


A tracker is a piece of software meant to collect data about you or your usages. Learn more... 


28 quyền cần từ thiết bi dé chay app, trong đó có những quyền nguy hiểm và mang tính riêng tư bảo mát 
như: READ_CONTACTS là quyền đọc danh ba điện thoại và WRITE_SETTINGS là quyền bắt buộc trên một 


a 


số thiết bi dé kiểm soát trang thái kết nối dữ liêu di động của ban. 


Phiên bản 1.30.4 vs Phiên bản 1.30.0 


€ permissions 


We have found the following permissions in the application: 


ACCESS_NETWORK_STATE 
view network connections 


ACCESS_WIFI_STATE 
view Wi-Fi connections 


INTERNET 
have full network access 


READ_APP_BADGE 


! READ_CONTACTS 
read your contacts 


H 


RECEIVE_BOOT_COMPLETED 
run at startup 


$ USE BIOMETRIC 
use biometric hardware 


È USE_FINGERPRINT 
use fingerprint hardware 


VIBRATE 
control vibration 


WAKE_LOCK 
prevent phone from sleeping 


UPDATE_COUNT 
C2D_MESSAGE 

RECEIVE 
BIND_GET_INSTALL_REFERRER_SERVICE 
READ_SETTINGS 
UPDATE_SHORTCUT 
CHANGE_BADGE 
READ_SETTINGS 

! WRITE SETTINGS 
UPDATE BADGE 

READ. SETTINGS 

! WRITE SETTINGS 

READ 
WRITE 

BROADCAST BADGE 
PROVIDER INSERT. BADGE 
BADGE COUNT READ 
BADGE COUNT. WRITE 


The icon § indicates a 'Dangerous' or 'Special' level according to Google's protection levels. 


Permissions are actions the application can do on your phone. Learn more... 


€ permissions 


We have found the following permissions in the application: 


ACCESS_NETWORK_STATE 
view network connections 


ACCESS_WIFI_STATE 
view Wi-Fi connections 


INTERNET 
have full network access 


READ_APP_BADGE 


! READ CONTACTS 
read your contacts 


RECEIVE BOOT COMPLETED 
run at startup 


VIBRATE 
control vibration 


WAKE LOCK 
prevent phone from sleeping 


UPDATE COUNT 

C2D MESSAGE 

RECEIVE 

BIND GET INSTALL REFERRER SERVICE 
READ SETTINGS 

UPDATE SHORTCUT 
CHANGE BADGE 

READ SETTINGS 

! WRITE SETTINGS 
UPDATE BADGE 

READ SETTINGS 

! WRITE SETTINGS 

READ 

WRITE 

BROADCAST. BADGE 
PROVIDER INSERT BADGE 
BADGE COUNT READ 


BADGE COUNT WRITE 


The icon V indicates a 'Dangerous' or 'Special' level according to Google's protection levels. 


Permissions are actions the application can do on your phone. Learn more... 


L] Chuyên gia quốc tế phân tích bảo mật và đánh giá Pi Network là kém an toàn cho người dùng. 
Ryan Montgomery, giám đốc công nghệ của Pentester.com, một công ty chuyên về các cuộc tấn công 
mạng mô phỏng, đã gợi ý trong một cuộc gọi với báo Sputnik (link bài báo: 

) rằng Pi Network không chỉ 
lưu trữ môt lương lớn dữ liêu người dùng môt cách không an toàn, bao gồm cá chi tiết về thông tin liên lạc 


của ho, mà còn dự trữ thông tin vô thời han, bất chấp các yêu cầu xóa thông tin. (Xem thêm trên Twitter 
cua Ryan: ( 


CEO Rick Glaser của cty ZenChart đã xác nhân rằng dữ liêu liên lac cua anh ấy đang tiếp tuc được lưu trữ, 
mặc dù anh ay không phải là người dùng ứng dung. Trong email gửi đến Pi Network, anh đặt câu hỏi vê 
việc công ty lưu trữ dữ liệu của anh, mà Pi phủ nhận quyền truy cập. 


Chuyên gia M. Ali từ trang TheCoinsPost đánh giá Pi Network giống một mô hình lừa đảo đa cấp. Theo Ali, 
người dùng không thể tự vào mạng lưới khai thác Pi, mà phải thông qua mã giới thiệu. Đây là biểu hiện 
của một mô hình kinh doanh theo kiểu kim tự tháp, thu hút mọi người bằng lời hứa về lợi nhuận nếu tuyển 
được thêm thành viên . 





Pi Network Support 7:57 PM 


tome v 


Pi Network Support commented: 


If you did not download our app, then our app would 
not have access to your information. Would you 
please tell me where this screenshot comes from? 
Also, what is the source that told you that you are 
included in the leak? We would like to stop the spread 
of false information. 





L] Chưa có blockchain — công nghệ “xương sống” trong thé giới tiền điện tử 


Nếu muốn hoạt đông nghiêm túc như những nền tảng và tên tuổi khác, Pi cần ra mắt blockchain chính thức 
của mình và phải được public trên CoinMarketCap. Đó được xem như bước đầu khi xây dựng tên tuổi, hình 


ảnh trên thị trường tiền kỹ thuật số để có thể tạo lòng tin ở nơi người dùng. Thế nhưng, Pi chỉ cam kết và 
hứa hẹn như một tổ chức hoạt động đa cấp thay vì những hành động cụ thể. 


Bên cạnh đó, các ý kiến còn cho rằng người dùng chỉ đang tham gia vào việc xây dựng cộng đồng trong 
khi máy chủ khai thác Pi lại ở nước ngoài. Điều này đồng nghĩa với việc người tham gia chỉ được tặng Pi, 
chứ không phải một phần của mạng lưới. Vấn đề này đã day lên giá trị thực sự của Pi là gì? 

Thực chất Pi chả sử dụng công nghệ Blockchain hay gì đắc biệt cả. Tất cả chỉ là goi qua API và lưu data 
trên backend của ho là https://socialchain.app/api/ và https://api.testnet.minepi.com/ và nhiêu API 
endpoint khác của Pi - không có công nghệ Blockchain nào ở đây cả. 


api.testnet.minepi.com/accou 





" links": ( 

"self": ( 
"href": "https://api.testnet.minepi.com/accounts/GBOFNNPGLCZR2440K2027JEGALIA3EFSFW6NS47LUHCO7QLNDFGYPQ7W" 

H 

"transactions": { 
"href": "https://api.testnet.minepi.com/accounts/GBOFNNPGLCZR2440K20272JEGALIA3EFSFW6NS47LUHCO7QLNDFGYPQ7W/transactions[?cursor,limit,orderj", 
"templated": true 

H 

"operations": { 
"href": “https://api.testnet.minepi.com/accounts/GBOFNNPGLCZR2440K2037 JEG4LIA3EF SFW6NS47LUHCO7QLNDFGYPQ7W/operations{ ?cursor,limit,order}", 
“templated”: true 

te 

"payments": { 
"href": ”“https://api.testnet.minepi .com/accounts/GBOFNNPGLCZR2440K20373EG4L TA3EF SFW6NS47LUHCO7QLNDFGYPQ7W/payments{?cursor,limit,order}", 
"templated": true 

H 

“effects”: { 
"href": “https://api.testnet.minepi.com/accounts/GBOFNNPGLCZR2440K2037 JEG4LIA3EF SFW6NS47LUHCO7QLNDFGYPQ7W/effects{ ?cursor, limit,order}", 
"templated": true 

te 

"offers": { 
"href": "https://api.testnet.minepi.com/accounts/GBOFNNPGLCZR2440K2037JEG4LIA3EFSFW6NS47LUHCO7QLNDFGYPQ7W/offers{?cursor, limit,order}", 
"templated": true 


trades": { 
"href": “https://api.testnet.minepi.com/accounts/GBOFNNPGLCZR2440K2037 JEG4LIA3EF SFW6NS47LUHCO7QLNDFGYPQ7W/trades{?cursor, limit,order}", 
"templated": true 


"href": “https://api.testnet.minepi.com/accounts/GBOFNNPGLCZR2440K2037 JEG4LIA3EF SFW6NS47LUHCO7QLNDFGYPQ7W/data/{key}", 
“templated”: true 
3 
n 
"id": "GBOFNNPGLCZR2440K20273JEGALIA3EFSFMW6NS47LUHCO7QLNDFGYPQ7VW" , 
"account id": "GBOFNNPGLCZR2440K2037JEGA4LIA3EFSFW6NS47 LUHCO7QLNDFGYPQ7W", 
"sequence": "22592846531919872", 
"subentry count": 9, 
"last modified ledger": 5260307, 
"last modified time": "2021-12-24T17:28:402", 
"thresholds": ( 
"low threshold": 9, 
"med threshold": 9, 
"high threshold": e 


"auth required": false, 
"auth revocable": false, 
"auth immutable": false 






"balance": "100.0000000", 
"buying liabilities": "0.0000000", 
"selling liabilities": "0.0000000", 
"asset type": "native" 






Điều này cũng có thé dễ dàng nhìn thấy khi sử dung Burp Suite hoặc Devtools xem những request 


app-cdn.minepi.com/mobile 
x | 812 100% *  Nothrot © =: Cé E t onsole : : Network X 


Preserve log Disable cache No throttling Y 


Invert Hide data URLs AN Fetch/XHR JS CSS Imd 
3rd-party requests 


10 ms 


Home 


Earn Pi Name 


E] gray_logo.b7e27cc6.png 

Earning Team D instagram.5c570427.png 
[À telegram.dd853305.pn 

egi g 


Roles 

Chat 

FAQ 

White Paper 
Core Team 


Profile 


3 requests 888 B transferred 156 kB resources 


Console + 


top * © File Default levels ¥ 


EE 7 
® Failed to load resource: np ERR_FATPESO, 


® Access to XMLHttpRequest af " * from origin * 
access control check: No ‘Access-Control-Allow-Origin’ header is present on the requested resource. 


Failed to record navigation event 
® Failed to load resource: n$t::ERR FAILED 


® Access to XMLHttpRequest af ' * from origin " 
access control check: No ‘Access-Control-Allow-Origin’ header is present on the requested resource. 


Follow us on Failed to record navigation event 
® Failed to load resource: n$t::ERR FAILED 


n vỡ @ Access to XMLHttpRequest af ' * from origin ' 
access control check: No 'Ặccess-Control-Allow-Origin' header is present on the requested resource. 


Failed to record navigation event. 
@ Failed to load resource: net::ERR_FAILED 
ADevTools failed to load source map: Could not parse content for 


ADevTools failed to load source map: Could not parse content for 





O Tôi truy cập trang socialchain.app với giao diện sau, trong đấy có phần “Sign In” bat đăng nhập 
bằng Facebook Login: 


socialchain.app 


SocialChain - creators of Pi Network and Pi Coin 





L] Tao ra hiéu ứng lừa đảo công đồng “Domino”. Một chuyên gia vê tiên số cũng cho biết, thực tế 
website trên được giới "dao" Pi tại Việt Nam sử dụng để lôi kéo thêm nhiều người. Họ quay, chụp 
màn hình các trang, sau đó dua lên hội nhóm với lời khẳng định sắp tới "có thể mua bán bằng Pi", 
hay "mỗi Pi sẽ có giá hàng trăm USD", kèm mã giới thiệu để rủ người khác cùng "dao" Pi. 


Đầu năm nay, một số cửa hàng, quán ăn tại Việt Nam cũng từng sử dụng chiêu "thanh toán bằng 
Pi" để hút khách và thành viên tham gia mạng lưới. Nhưng sau đó, họ lấy lý do Pi Network chưa đi vào 
giai đoạn chính thức nên chưa thể thanh toán. 


Ngay cả khi Pi Network vào giai đoan chính thức, viêc thanh toán hàng hoá bằng Pi là hoat đông trái 
phép tại Việt Nam. Tại Hội nghi Phòng ngừa vi phạm, tội pham trong chuyển đổi nén kinh tế số do Bộ 
Công an tổ chức tuần này, các cơ quan chức năng khẳng định việc sử dung tiền ảo để thanh toán là vi 
phạm pháp luật. 


O Tôi đã liệt kê đây đủ danh sách tên miền, địa chi IP và một số thông tin có liên quan đến 
minepi.com (là trang chính của Pi Network). Có thể xem thêm chi tiết đầy đủ tai đây: 


- trong đó có những tên miền có tên rất lạ như: 


paxlumenart.com 
aforestwithnotrees.com 


amarquez.design 
genesisregional.info 





Đa phần và hầu hết những thông tin chủ sở hữu tên miền có những thông tin thiếu minh bach hoặc che đây 
thông tin thật của người chủ quản domain, tương tự với domain minepi.com và nhiều domain khác như 
Sau: 


Domain Name: socialchain.app 

Registry Domain ID: 2D9456E7E-APP 
Registrar WHOIS Server: whois.nic.google 
Registrar URL: https: 

Updated Date: -10-25T18: 

Creation Date: -09-10T18: 

Registry Expiry Date: - 


Registrar: 1&1 Internet SE 

Registrar IANA ID: 

Registrar Abuse Contact Email: abuse@ionos.com 
Registrar Abuse Contact Phone: + 

Domain Status: clientTransferProhibited 

https: 

Registry Registrant ID: REDACTED FOR PRIVACY 





Registrant Name: REDACTED FOR PRIVACY 

Registrant Organization: 1&1 Internet Inc 

Registrant Street: REDACTED FOR PRIVACY 

Registrant Street: REDACTED FOR PRIVACY 

Registrant City: REDACTED FOR PRIVACY 

Registrant State/Province: PA 

Registrant Postal Code: REDACTED FOR PRIVACY 

Registrant Country: US 

Registrant Phone: REDACTED FOR PRIVACY 

Registrant Email: Please query the WHOIS server of the owning registrar identified 
in this output for information on how to contact the Registrant, Admin, or Tech 
contact of the queried domain name. 

Registry Admin ID: REDACTED FOR PRIVACY 

Admin Name: REDACTED FOR PRIVACY 

Admin Organization: REDACTED FOR PRIVACY 

Admin Street: REDACTED FOR PRIVACY 

Admin Street: REDACTED FOR PRIVACY 

Admin City: REDACTED FOR PRIVACY 

Admin State/Province: REDACTED FOR PRIVACY 

Admin Postal Code: REDACTED FOR PRIVACY 

Admin Country: REDACTED FOR PRIVACY 

Admin Phone: REDACTED FOR PRIVACY 

Admin Email: Please query the WHOIS server of the owning registrar identified in 
this output for information on how to contact the Registrant, Admin, or Tech 
contact of the queried domain name. 

Registry Tech ID: REDACTED FOR PRIVACY 

Tech Name: REDACTED FOR PRIVACY 

Tech Organization: REDACTED FOR PRIVACY 

Tech Street: REDACTED FOR PRIVACY 

Tech Street: REDACTED FOR PRIVACY 

Tech City: REDACTED FOR PRIVACY 

Tech State/Province: REDACTED FOR PRIVACY 

Tech Postal Code: REDACTED FOR PRIVACY 

Tech Country: REDACTED FOR PRIVACY 

Tech Phone: REDACTED FOR PRIVACY 

Tech Email: Please query the WHOIS server of the owning registrar identified in 
this output for information on how to contact the Registrant, Admin, or Tech 
contact of the queried domain name. 

Registry Billing ID: REDACTED FOR PRIVACY 

Billing Name: REDACTED FOR PRIVACY 

Billing Organization: REDACTED FOR PRIVACY 

Billing Street: REDACTED FOR PRIVACY 

Billing Street: REDACTED FOR PRIVACY 

Billing City: REDACTED FOR PRIVACY 

Billing State/Province: REDACTED FOR PRIVACY 





Billing Postal Code: REDACTED FOR PRIVACY 

Billing Country: REDACTED FOR PRIVACY 

Billing Phone: REDACTED FOR PRIVACY 

Billing Email: Please query the WHOIS server of the owning registrar identified in 
this output for information on how to contact the Registrant, Admin, or Tech 
contact of the queried domain name. 

Name Server: ns- .awSdns-41.org 

Name Server: .awsdns-07.co.uk 

Name Server: .awsdns-05.com 

Name Server: ns- .awsdns-30.net 

DNSSEC: unsigned 


ns- 
ns- 


Và thông tin whois domain minepi.com 


Domain Name: minepi.com 
Registry Domain ID: _DOMAIN_COM-VRSN 
Registrar WHOIS Server: whois.google.com 
Registrar URL: https: 
Updated Date: -12- 
Creation Date: -12- 


T09:58:16Z 

T20:25:21Z 

Registrar Registration Expiration Date: 

Registrar: Google LLC 

Registrar IANA ID: 

Registrar Abuse Contact Email: registrar-abuse@google.com 
Registrar Abuse Contact Phone: + 

Domain Status: clientTransferProhibited 

https: 

Registry Registrant ID: 

Registrant Name: Contact Privacy Inc. Customer 
Registrant Organization: Contact Privacy Inc. Customer 
Registrant Street: Mowat Ave 


Registrant 
Registrant 
Registrant 
Registrant 
Registrant 
Registrant 
Registrant 
Registrant 


City: Toronto 
State/Province: ON 
Postal Code: M4K 3K1 
Country: CA 

Phone: + 

Phone Ext: 

Fax: 

Fax Ext: 
Email: 


Registrant 
Registry Admin ID: 

Admin Name: Contact Privacy Inc. Customer 

Admin Organization: Contact Privacy Inc. Customer 


av158d4stru@contactprivacy.email 





Admin Street: Mowat Ave 

Admin City: Toronto 

Admin State/Province: ON 

Admin Postal Code: M4K 3K1 

Admin Country: CA 

Admin Phone: + 

Admin Phone Ext: 

Admin Fax: 

Admin Fax Ext: 

Admin Email: 3av158d4stru@contactprivacy.email 
Registry Tech ID: 

Tech Name: Contact Privacy Inc. Customer 

Tech Organization: Contact Privacy Inc. Customer 
Tech Street: Mowat Ave 

Tech City: Toronto 

Tech State/Province: ON 

Tech Postal Code: M4K 3K1 

Tech Country: CA 

Tech Phone: + 

Tech Phone Ext: 

Tech Fax: 

Tech Fax Ext: 

Tech Email: 3av158d4stru@contactprivacy.email 
Name Server: NS1.DIGITALOCEAN. COM 

Name Server: NS2.DIGITALOCEAN. COM 

Name Server: NS3.DIGITALOCEAN. COM 

DNSSEC: unsigned 


O Bên trong mã nguồn cho thấy ứng dụng sử dụng các thư viện quảng cáo để kiếm tiên như 
com.sbugert.rnadmob hiển thị quảng cáo Admob của Google; com.bytedance.overseas của 
TikTok; AudienceNetworkAds hiển thị quảng cáo của Facebook. Đội ngũ phát triển ứng dụng 
chuẩn bị cho việc bật kiếm tiền trong tương lai, hoặc ở quá khứ, app Pi đã từng thu lợi nhuận từ 
việc quảng cáo. 





AA A A A AQ 


< 
< 
< 
< 
< 
< 
< 
< 
< 
< 


Kế đến, theo Wibugirl ( . Là app PI chuẩn bị rất kỹ phần hiển thị 
quảng cáo để kiếm tiền, có hẳn các đoạn code logic để control việc có bật quảng cáo hay không. 


; An = function(e) { 
var ht(e) 


huh. ME 





: function() { 
return n. 


D 
: function() { 
return n. 


2 al 


, null, d.a. 


LJ 
: function() { 
return n. 


j 4 


D 
: function() { 
return n. 


SIL 


}, 


, 


D 
: function() { 
return n. 5 


by 
j 4i 


Ho còn xử ly riêng cho việc bật quảng cáo tai thị trường Trung Quốc, vi ở Trung Quốc không có Google 
play service nên không dùng admob được 





case 25: 
p u 100, 
d = Pt(), 
Ctt 


break; 
case 35: 
i. 
the 
i. 
case 38: 
HIKED 
a. 
case 40: 
case - 
return e. 


Ứng dung sé tu động gửi các Request để kiểm tra xem Ads có được chạy trên điện thoai của người dùng 
hay không. 


HTTP/1:1 
socialchain.app 
close 
ngth: 495 
: application/json, text/plain, */* 
Bearer HNdRZH9jJ3zZtLPBP15g24DG1tva5MgeieamX71bFS4 


1 

r-A : Mozilla/5.@ (Linux; Android 7.0; Google Nexus 9 Build/NBD92Y; wv) 
AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/92.0.4515.115 
Safari/537.36 


application/json;charset=UTF-8 
https://app-cdn.minepi.com 





h: com.blockchainvault 
cross-site 
cors 
: empty 
: https: //app-cdn.minepi.com/ 
ding: gzip, deflate 


en-US,en;q-0.9 


{"name": "Ads 

debug", "data":{"feature":"ads_debug","data":{"adsEnabledFunction":false, "onboardin 
gReceived":true, "adsSupported":true, "canShowAds": false, "adsEnabled":true, "isContri 
butor":null,"completedMiningSessions":0,"android":true,"buildVariant":"world", "sta 
rtMiningInterstitial": false, "ironSourceInterstitial":{"available":false, "ready":tr 
ue, "displaying": false, "rewarded":false}, "topOnInterstitial":{"available": false, "re 
ady": false, "displaying": false, "rewarded": false}, "appVersion":"1.30.4"}}} 





O Pi Network app chi là webview nghĩa là dùng webview của Android để hiển thi lén. Xem thêm dé 


hiểu webview là gì Ứng dung Android System WebView là gi, gỡ cài dat thì có an toàn? . Pi app 
thực chất là: http://app-cdn.minepi.com/ (nhu hình bên dưới) - Điều này cho thấy Pi Network app 
mà các Pioneers đang cài, đôi khi một số tính năng update trên app chỉ là cập nhật để tối ưu hóa 
việc thu thập dữ liệu và quảng cáo được hiệu quả cũng như tinh vi hơn. Vì thực chất Pi Network chỉ 
là 1 cái web tại địa chỉ trên 





Cài đặt tài khoản của bạn 


Tên của bạn 


Họ của bạn 


Chọn tên người dùng của bạn 


O Thực chất đào PI chỉ là dùng Javascript timer theo Wibugirl ( 


i . Tất cả những số PI đang chay mà các ban thấy trên màn hình không phải là app PI 
đang dao coin hay chay blockchain gi cá mà chi là họ setinterval trong Javascript code để thay đổi 


giá trị PI trên UI mà thôi 


: function() { 
var e = arguments. 0 void 0 arguments [0] ? arguments[0] : kn 
, t = arguments. 1 ? arguments[1] : void 0; 
switch (t. ) 1 
case 
if (null e. 
return e; 
var n function(e, t) { 
return t. 0 ?7e ((new Date). () new Date(t. 
HCH : ; e) 
; a = €. j ` 
return nul A e : Object(v.a)({}, e, { 
al 


D 
j hy 
:a 


: Object(v.a)({}, e. "i 
4 4 


: (new Date). 


case : 
return Object(v.a)({}, e, { 

: (new Date). 
db 


return Object(v. )(Ơ, e, { 
: null 
}); 


return Object(v. )({}, e, { 
: 10 


}); 
case 
var r t. ; 
return Object(v.a)({}, e, { 
SE 


case 


case 


L] Phân tích kỹ thuật việc Pi Network lấy và lưu dữ liệu danh bạ người dùng: 


Phân sau đây được lấy từ ban phân tích của nhóm bảo mật J4FSec: 


Sau khi cài đặt và đăng ký tài khoản trên ứng dụng di động của Pi Network thì chúng ta có thể thấy ứng 
dụng gửi một request chứa nhiều thông tin vé máy như sau: 


Lal 
Content- application/json 





Content- 1130 
User- Dalvik/2.1.0 (Linux; U; Android 7.0; Google Nexus 9 B 
uild/NBD92Y) 
outcome-ssp.supersonicads.com 
close 
Accept- gzip, deflate 


2 


:1621254220016, 


54219346}, { 
sale : 
5 2116212542193527 


54219368}]} 


Trong phần thân request chứa những thông tin như: 
e Tên thiết bị 
Phiên bản Android 
Phiên bản API của Android 
Loại kết nối mạng 
Bộ nhớ khả dụng trên máy 


Ngoài ra, ứng dụng còn có một hệ thống affiliate nằm trong Earning > Invite > Invite your contacts. Sau 
khi cấp quyền cho ứng dụng đọc danh bạ, có một request được gửi về phía máy chủ của Pi Network như 
sau: 


Hip r1 
socialchain.app 
: close 
2235 
: application/json, text/plain, / 
https://app-cdn.minepi.com 
Bearer BaxgJZlhTwtzHopK1Pwy9Zw9Qy9zsI6wKNFUML1Kbjg 

| : Mozilla/5.0 (Linux; Android 7.0; Google Nexus 9 Build/NBD92Y; wv) 
AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/74.0.3729.186 





Safar1/537.36 
Content-Type: application/json;charset=UTF-8 
Referer: https://app-cdn.minepi.com/mobile-app-ui/invite 
Accept-Encoding: gzip, deflate 
Accept-Language: en-US,en;q=0.9 
X-Requested-With: com.blockchainvault 
{"contacts":[{"postalAddresses":[],"emailAddresses":[],"urlAddresses":[],"note":"" 
» department":"","company":"", "familyName":"1","displayName": "contact 
1”, "givenName” : "contact", "rawContactId":"1","recordID":"1","phoneNumbers":[{"id":" 
2","label":"mobile","number":"(038) 
888-4448") ], "thumbnailPath":"","hasThumbnail":false,"jobTitle":"","suffix":null,"p 
refix":null,"middleName":null},{"postalAddresses":[],"emailAddresses":[],"urlAddre 
sses":[], "note":"","department":"","company":"","familyName":"2","displayName":"co 
ntact 
2", "givenName” : "contact", "rawContactId":"2","recordID":"2","phoneNumbers":[{"id":" 
8", "label": "mobile", "number" :"(@38) 
845-6789"}], "thumbnailPath":"","hasThumbnail":false,"jobTitle":"","suffix" :null,"p 
refix":null,"middleName":null},{"postalAddresses":[],"emailAddresses":[],"urlAddre 
sses":[],"note":"","department":"", "company": "", "familyName":"3","displayName":"Co 
ntact 
3”, "givenName":"Contact","rawContactId":"3","recordID":"3","phoneNumbers":[{"id":" 
14", "label": "mobile", "number":"(038) 
812-3456"}], "thumbnailPath":"","hasThumbnail":false,"jobTitle":"","suffix" :null,"p 
E {"postalAddresses":[],"emailAddresses":[],"urlAddre 
sses":[], "note":"","department":"", "company": "","familyName":" "4", "displayName":"co 
ntact 
4","givenName": "contact", "rawContactId":"4","recordID":"4", "phoneNumbers":[{"id":" 
0", "label": "mobile", "number":"(038) 
812-3211"}], "thumbnailPath":"","hasThumbnail":false,"jobTitle":"","suffix" :null,"p 
refix":null,"middleName":null},{"postalAddresses":[],"emailAddresses":[],"urlAddre 
sses":[], "note":"","department":"","company":"","familyName":"5","displayName":"co 
ntact 
5”, "givenName” : "contact", "rawContactId":"5","recordID":"5","phoneNumbers":[{"id":" 
26”, "label": "mobile", "number":"1 
234-567-89"}], "thumbnailPath":"", "hasThumbnail":false,"jobTitle":"","suffix":null, 
Ee :null, "middleName":null},{"postalAddresses":[],"emailAddresses":[],"urlAdd 
resses":[],"note":"","department":"","company":"","familyName":"6","displayName": 
Contact 
6”, "givenName":"Contact","rawContactId":"6","recordID":"6", "phoneNumbers":[{"id":" 
32","label":"mobile","number":"1 
234-560-000"}],"thumbnailPath":"", "hasThumbnail":false, "jobTitle":"", "suffix" :null 


» prefix":null, "“middleName": null} ]} 


Và response như dưới: 





HTTP/1.1 200 OK 
nte pe: application/json; charset=utf-8 
200 OK 
: max-age=0, private, must-revalidate 
https://app-cdn.minepi.com 


strict-origin-when-cross-origin 
policies: none 
: 7200 
1; mode=block 
520179dd-a1f2-46d0-a499-cd29560b569b 
ju: j : true 
: GET, POST, OPTIONS, PUT, DELETE 


nload-o] noopen 
: W/"adf50f26c361b0882bfd089adef2c5c8" 
Í : SAMEORIGIN 

: 0.123402 


A nosniff 
: Mon, 17 May 2021 14:09:06 GMT 
by: Phusion Passenger 6.0.6 
nginx/1.14.0 + Phusion Passenger 6.0.6 
close 
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182902471, : 339408592, : :-2128208535025350508}, 


2 s 3 


Qua quan sát, chúng tôi nhận thấy rằng, mỗi lân người dùng truy cập tính năng này, nó sẽ tu động gửi 
những số mới trong danh bạ tới máy chủ Pi Network. 


Chưa hết, chúng tôi còn tìm thấy những vấn đề trong hệ thống quản lý phiên của ứng dụng. Kể cả sau khi 
đăng xuất và thậm chí XOÁ TÀI KHOẢN, Bearer Token cũ vẫn có thể sử dụng để truy vấn những thông tin 
cá nhân của người dùng, toàn bộ danh bạ và nhiều thông tin khác. 


Request 


contacts 
socialchain.app 
close 
application plain, / 


Bearer Baxg]ZlhTwtzHopK1Pwy9Zw9Qy9zsI6wKNFUML1Kbjg 
Mozilla NBD92Y; wv) 





AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/74.0.3729.186 
Safar1/537.36 

Referer: https://app-cdn.minepi.com/mobile-app-ui/invite 
Accept-Encoding: gzip, deflate 

Accept-Language: en-US,en;q=0.9 

X-Requested-With: com.blockchainvault 

If-None-Match: W/"9f62fd28f30bf506a89642950b47dc8a" 


Response 


HTTP/1.1 200 OK 

content-type: application/json; charset=utf-8 
status: 200 OK 

cache-control: max-age=0, private, must-revalidate 
access-control-allow-origin: https://app-cdn.minepi.com 
vary: Origin 

referrer-policy: strict-origin-when-cross-origin 
x-permitted-cross-domain-policies: none 
access-control-max-age: 7200 

x-xss-protection: 1; mode=block 

x-request-id: 375ff958-cac4-4d8d-ad84-1856637e9917 
access-control-allow-credentials: true 
access-control-allow-methods: GET, POST, OPTIONS, PUT, DELETE 
x-download-options: noopen 

etag: W/"25adc1a0835e258417663183c98fcc97" 
x-frame-options: SAMEORIGIN 

x-runtime: 0.078783 

x-content-type-options: nosniff 

date: Mon, 17 May 2021 15:49:05 GMT 

x-powered-by: Phusion Passenger 6.0.6 

server: nginx/1.14.0 + Phusion Passenger 6.0.6 
connection: close 

Content-Length: 1395 


{"processed_contacts":{"created_contacts":[{"id":15388648311,"user_id":339408592," 
first name":"contact","last name":"1","phone record id":"1","existing user id":nul 
l,"created at":"2021-05-17T13:21:47.000Z" , updated at":"2021-05-17T13:21:47.0002") 
s{"id":15388648345, "user id” : 339408592, "first_name":"contact","last_name":"2","pho 
ne record id":"2","existing user id":204603621,"created at":"2021-05-17T13:21:47.0 
00Z","updated at":"2021-05-177T13:25:28.000Z7"},{"id":15388648367, user id":33940859 
2,"first_name":"Contact","last_name":"3","phone_record_id":"3", "existing user_id": 
220411953, "created_at":"2021-05-17T13:21:47.000Z", "updated at":"2021-05-17T13:25:2 
8.000Z"},{"id":15389264594, "user_id":339408592, "first_name":"contact","last_name": 


"4", "phone_record_id":"4", "existing _user_id":null,"created at":"2021-05-17T13:34:5 





8.000Z", "updated_at":"2021-05-17T13:34:58.000Z"},{"id":15389753378, "user id":33940 


ULI UU ULI UU 


8592, "first name”: "contact", "last_name":"5", "phone _record_id":"5", "existing user 1 
d":null, "created at":"2021-05-17T13:45:12.000Z", "updated_at":"2021-05-17T13:45:12. 
000Z"},{"id":15390950941, "user _id":339408592, "first_name":"Contact","last_name":"6 
", phone record id":"6","existing user id":null,"created at":"2021-05-17T14:09:05. 


0002" , "updated at":"2021-05-17T14:09:05.0002")], "natching users":[("id":220411953, 
"username" : "mammd123", "display name":"Mam 
Map" ,"trusted":false)]), "status":"ready") 








È 
App quá åo, The Reek Wok đã sús 

Mặt khác, trong quá trình đăng ký tài khoản, ngoài việc gửi đi thông tin về thiết bị như J4FSec chi ra thì 
còn một điểm mập mờ là Pi Network không gửi tin nhắn xác nhân người dùng mà tu người dùng phải nhắn 
tin cho hé thống để xác nhân số điện thoai. Điều này thể hiên sự thiếu chuyên nghiệp vì trong trường hợp Pi 
Network không có cơ sở ha tầng cho dịch vụ OTP (cho dù điều này rất vô lý vì họ có khả năng chạy cả 
mạng lưới blockchain??) thì có thể sử dụng các dịch vụ bên thứ ba như Twilio rất dễ mua và sử dụng để 
xác minh số điện thoại cho người dùng. 











L] Ngoài ra còn có phân tích chi tiết hơn của nhà nghiên cứu wibugirl 


(https://github.com/cogaiwibu/pi-network-source) về việc có thể trick/manipulate hoặc đánh lừa 


cuu 


(hack) thuật toán của app Pi để “điểm danh” đào coin hàng loạt, dưới đây là trích dán phân tích 
của wibugirl: 


Nhập SĐT: Gọi API https://socialchain.app/api/users/phone để kiểm tra SDT đã đăng kí hay chưa 


POST /api/users/phone HTTP/1.1 
application/json, text/plain, */* 
application/json;charset=utf-8 
72 


socialchain. app 


gzip, deflate 
iE; cokhttp/3- 12:12 





Nhập mật khẩu: Gọi API 
HTTP/1.1 


socialchain.app 
close 
Length: 54 
: application/json, text/plain, */* 


1 
r-Ag : Mozilla/5.@ (Linux; Android 7.0; Google Nexus 9 Build/NBD92Y; wv) 
AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/92.0.4515.115 
Safari/537.36 
l pe: application/json;charset=UTF-8 
https://app-cdn.minepi.com 
com.blockchainvault 
cross-site 
cors 
> empty 
https://app-cdn.minepi.com/ 
: gzip, deflate 
: en-US,en;jq=0.9 


HTTP/1.1 
socialchain.app 
close 
Length: 568 
: application/json, text/plain, */* 
Bearer HNdRZH9jJ3ZZtLPBP15g24DG1itva5MgeieamX71bFS4 


: Mozilla/5.@ (Linux; Android 7.0; Google Nexus 9 Build/NBD92Y; wv) 
AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/92.0.4515.115 
Safari/537.36 

pe: application/json;charset=UTF-8 
https://app-cdn.minepi.com 
com. blockchainvault 
cross-site 
cors 
: empty 





: https://app-cdn.minepi.com/ 
: gzip, deflate 
: en-US,en;q=0.9 


Nhập referral code: gọi API 


HTTP/1.1 
: socialchain.app 
: close 
Len E25 
: application/json, text/plain, */* 
: Bearer HNdRZH9j]3zZtLPBP15g24DG1tva5MgeieamX71bFS4 


: Mozilla/5.@ (Linux; Android 7.0; Google Nexus 9 Build/NBD92Y; wv) 
AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/92.0.4515.115 
Safari/537.36 

ontent-T : application/json;charset=UTF-8 
: or //app-cdn.minepi.com 
: com.blockchainvault 

: cross-site 

> COPS 

: empty 
: fasce //app-cdn.minepi.com/ 

ing: gzip, deflate 
: en-US,en;q=0.9 


Setup profile: gọi API https://socialchain.app/api/profile . Chỗ này PI có sử dụng Google Invisible 
reCAPTCHA để chống bot, ngăn chặn register hàng loạt dé cheat app. Tuy nhiên reCAPTCHA này vẫn 
bypass được bằng cách dùng Speech Recognition, Wibugirl đã buff thêm vài chục ngàn acc clone để 
tăng tốc độ đào PI, và đây là thành quả. 





12:24 A all ull 79708 


= 207187.7401 t EN @ - 


Beware of fake wallets m” 


@PiCoreTeam Mar 20th - 7:00am 


On Pi Day, we announced that the Pi wallet on the Testnet with 
Test-Pi will be released on March 31, 2021. We've seen an 
increase in reports of potential scams pretending to be the 
official Pi Wallet. Please wait for the real Pi Wallet release 
announcement on the home screen here on March 31st, and 
be cautious of any scams or apps claiming to be the Pi Wallet. 





Vì không dùng blockchain nên rất khó có thể nói PI có giá tri thực tế gi hay không. Khác hẳn với Bitcoin, 
giao dịch phải được xác thực bởi tất cả những người trong mạng lưới blockchain, PI network không làm 
vậy mà ho chỉ lưu data ở server tập trung của ho, nên việc sửa data này rất dễ dàng (và dĩ nhiên tính minh 
bạch là một dấu hỏi rất lớn). Nếu bị hijack số điện thoại qua quá trình đăng ký tài khoản hàng loạt như 
vậy thì sẽ dẫn tới việc mất các quyên loi cho các Pioneers khi ho đi kêu goi người mới tham gia (referral) vì 


rất dễ dàng tạo tài khoản giả mạo. 











Chưa hết, Pi Network cũng nói rằng, nếu thiếu KYC của người dùng thì những đồng Pi đào được sẽ vô tác 
dụng (cần citation) nhưng tới thời điểm hiên tai KYC chưa boat đông => rất mơ hồ 


| pi://kyc.pi | 


PI KYC - 








Limit of participants from your country is reached 


100 


We're sorry, we have already reached the limit of 100 volunteers from your 
country 





Và thực chát việc đào PI chi là goi API https://socialchain.app/api/proof of presences 


/api/proof_of_presences HTTP/1.1 
Host: socialchain.app 
Connection: close 
Content-Length: 24 
Accept: application/json, text/plain, */* 
Authorization: Bearer HNdRZH9jJ3zZtLPBP15g24DG1tva5MgeieamX71bFSA4 


W: 1 

User-Agent: Mozilla/5.@ (Linux; Android 7.0; Google Nexus 9 Build/NBD92Y; wv) 
AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/92.0.4515.115 
Safari/537.36 

Content-Type: application/json;charset=UTF-8 

Origin: https://app-cdn.minepi.com 





: com. blockchainvault 
: cross-site 


Số CONS 
| : empty 
: https://app-cdn.minepi.com/ 


: gzip, deflate 
: en-US,en;q=0.9 


} 





Hằng ngày khi user vào app, PI sẽ gọi API proof_of_presences và đánh dấu là user dé active (đang hoạt 
động). Sau 24h thì app PI sẽ đánh dấu user là inactive (không hoạt động). Sau khi nhấn vào tia sét thì 
app PI lại gọi proof_of_presences và lại active (đang hoạt động). Tất cả những số PI đang chay mà các 
bạn thấy trên màn hình không phải là app PI đang đào coin hay chạy blockchain gì cả mà chỉ là họ set 
interval trong Javascript code để thay đổi giá tri PI trên UI mà thôi. 


4/ Khuyến cáo và kết luận 


Hy vọng với những phân tích chuyên sâu trên, tôi thay mặt nhóm WibuBoiz cảnh giác công đồng những ai 
đã và dang tham gia Pi Network nén xem xét để đưa ra nhân dinh đúng và thực tế, thay vì chay theo nhữn 
mơ ước hảo huyền không có that hoặc vién vông thiếu logic. 











Pi Network lúc này kiểu: 





Hãy nhìn vào ánh mắt chân thành 
ngây thơ đáng tin này của tôi đi. 
Tôi thật sự không lừa bạn. 


Dang sau niềm tin có vẻ ngây ngơ nay, tôi băn khoăn khi xã hôi lai có không ít những người muốn giàu, làm 
giàu nhưng lại không chịu bắt đầu trên nền tảng vững chắc là kiến thức - lao động và đầu tư. 





Do tiên Pi chỉ được lưu trên server tập trung, người quan tri hé thống có thể thay đổi và tao ra bao nhiêu tiên 
tùy thích. "Khi đó, đồng tiên cũng không còn giá trị gì" và hiện giá trị của đồng Pi trên thị trường bằng 0. 
Người dùng chưa thể giao dịch, mua bán bằng đồng tiền này. 


Không những vậy, nếu Pi trở thành phương tiện thanh toán đồng nghĩa với việc nhóm nhà sáng lập được 
hưởng 25% tổng cung tiền, đây là một điều rất nguy hiểm khi mót cá nhân/tổ chức nắm giữ và kiểm soát 
một dòng tiên lớn như vậy 

Ứng dụng Pi không công bố lõi công nghệ - mã nguồn khiến nhiều chuyên gia nghiên cứu lĩnh vực 
blockchain phải lên tiếng cảnh báo sư thiếu minh bach của dư án này. Nguyên tắc bất di bất dịch của 
blockchain là tính minh bạch 








“Niềm tin và hy vọng không mất tiên mua, nhưng chúng ta nên đặt niềm tin và hy vọng vào một cái gì đó nó 
có logic và thực tế hơn. Một điều là chả ai cho không cái gì cả” 


Kết quả điều tra, phân tích của WjbuBoiz về app Pi 





Tài liệu tham khảo: 


1. https://github.com/cogaiwibu/pi-network-source 
2. https://docs.google.com/spreadsheets/d/1ek2HomruW2z17Qb.JQ0RTHY6TVmZ5U4hBgN9WpFz 
WEI/edit usp- sharing 





ua-tren-niem-tin-va-noi- mieng-20210306103436796. chn 
10. T" s://vnexpress.net/tai-sao-nhieu-nguoi-viet-tin-tien-ao-pi-4240002.html 


11.https://research.aimultiple.com/pi-network/ 





